Merge MR-14

Xtables-addons 3.4

xt_pknock, xt_SYSRQ: do not set shash_desc::flags.

shash_desc::flags was removed from the kernel in 5.1.

That assignment was actually superfluous anyway, because crypto.desc
is zero-initialized when crypto is initialized (xt_pknock.c, ll.
110ff.).

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

treewide: replace skb_make_writable

skb_make_writable was removed in v5.3-rc1~140^2~370^2~1 .
Replace it with skb_ensure_writable that was introduced in
v3.19-rc1~118^2~153^2~2 .

xt_PROTO: style fixes

Merge MR-11

xt_DHCPMAC: replace skb_make_writable with skb_ensure_writable

skb_make_writable was removed from the kernel in
v5.3-rc1~140^2~370^2~1 , and its callers were converted to use
skb_ensure_writable. Updated dhcpmac_tg() accordingly.

Signed-off-by: Jeremy Sowden <jeremy@azazel.net>

add support for Linux 5.0 for DELUDE and TARPIT

Add man page items for xt_PROTO

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Enable xt_PROTO in build system

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Add xt_PROTO extension

Signed-off-by: Aron Xu <happyaron.xu@gmail.com>

Xtables-addons 3.3

build: remove xa-download-more script

This mechanism has not seen any use in recent years (the "sources"
file is still the same) — drop it.

doc: update README and changelog

xt_SYSRQ: replace do_gettimeofday

Linux kernel commit v4.20-rc1-18-ge4b92b108c6c removed
do_gettimeofday in favor of ktime_get_real_ts64 introduced in
v3.16-rc5-59-gd6d29896c665 .

Merge MR-10

xt_ACCOUNT: make table limit configurable

Add parameter option in module xt_ACCOUNT.ko to accept. Change in the
ACCOUN_MAX_TABLES table without the need to recompile the module.

References: MR-8

Xtables-addons 3.2

geoip: build tool should not rely on directory name

Fix this:

GeoLite2-Country-CSV_20180905$ /usr/lib/xtables-addons/xt_geoip_build

Use of uninitialized value $dir in concatenation (.) or string at
/usr/lib/xtables-addons/xt_geoip_build line 59.
Couldn't open list country names

Do not rely on any directory names (they change). Use the current
directory as the default source directory, similar to the older
xt_geoip_build (well, *.csv was passed as arguments).

Xtables-addons 3.1

build: add support for Linux 4.18

build: add support for Linux 4.17

build: fix 4.16 warning

build: match documented and coded build requirements

doc: add 3.0 headline in changelog

geoip: simplify handling table column names

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: add database query tool for use with ipsets

Add a tool for retrieiving the IPv4 or IPv6 (or both!) CIDR ranges
for a given country, which can then be injected into an ipset if
one doesn't want to use (or have available) the xt_geoip extension.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: update man page for xt_geoip_build

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: adapt to GeoLite2 database

Requires Net::CIDR::Lite for manipulating CIDR blocks, aggregation, etc.
since database is stored as subnet/mask pairs and may require compaction
into ranges (which can combine adjacent subnets).

We don't use Net::CIDR because it's a clunkier interface.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

geoip: store database in network byte order

This allows a single database to be built and distributed as a
package that is accepted by both big- and little-endian hosts.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

Xtables-addons 3.0

build: support for Linux 4.16

build: remove support for Linux 4.14

build: remove support for Linux 4.13

build: remove support for Linux 4.12

build: remove support for Linux 4.11

build: remove support for Linux 4.10

build: remove support for Linux 4.9

build: remove support for Linux 4.8

build: remove support for Linux 4.7

build: remove support for Linux 4.6

build: remove support for Linux 4.5

build: remove support for Linux 4.4

build: remove support for Linux 4.3

build: remove support for Linux 4.2

build: remove support for Linux 4.1

build: remove support for Linux 4.0

build: remove support for Linux 3.19

build: remove support for Linux 3.18

build: remove support for Linux 3.17

build: remove support for Linux 3.16

build: remove support for Linux 3.15

build: remove support for Linux 3.14

build: remove support for Linux 3.13

build: remove support for Linux 3.12

build: remove support for Linux 3.11

build: remove support for Linux 3.10

build: remove support for Linux 3.9

build: remove support for Linux 3.8

build: remove support for Linux 3.7

geoip: apply consistent style to xt_geoip_build

geoip: selective endianness catalog generation

xt_pknock: don't split function heads

build: support for Linux 4.15

Signed-off-by: Marcelo Henrique Cerri <marcelo.cerri@canonical.com>

build: (additional) support for Linux 4.14

Signed-off-by: Seth Forshee <seth.forshee@canonical.com>

Xtables-addons 2.14

DNETMAP: remove NF_CT_ASSERT use

The hooks are already checked by the xtables core (due to struct
xt_target::hooks).

DNETMAP: fix write past end of buffer

xt_geoip: fix typo in error message

Make both instances of the same message (about invalid country codes)
be consistent with each other.  If you have scripts which capture and
collate error messages, then having consistent strings to match against
is a win.

Signed-off-by: Philip Prindeville <philipp@redfish-solutions.com>

DELUDE: fix PVSStudio reports

V560 A part of conditional expression is always true: !oth->rst.

ipp2p: fix PVSStudio reports

V666 Consider inspecting fourth argument of the function 'HX_memmem'.
It is possible that the value does not correspond with the length of
a string which was passed with the third argument.

pknock: fix PVSStudio static analyzer reports

V595 The 'peer' pointer was utilized before it was verified against
nullptr.

Xtables-addons 2.13

xt_condition: namespace support #2

xt_geoip: check for allocation overflow

compat_xtables: use more accurate printf format for NIPQUAD

We never expect to emit values greater than 255 here, so use %hhu to
address more sprintf warnings.

xt_DNETMAP: fix a buffer overflow

prefix_str was only 16 bytes, but the largest emitted string could be
"255.255.255.255/32" (19 bytes).

xt_DNETMAP.c: In function "dnetmap_tg_check":
compat_xtables.h:46:22: warning: "%u" directive writing between 1 and 10
bytes into a region of size between 0 and 8 [-Wformat-overflow=]
 # define NIPQUAD_FMT "%u.%u.%u.%u"
xt_DNETMAP.c:296:2: note: "sprintf" output between 10 and 27 bytes into
a destination of size 16
  sprintf(p->prefix_str, NIPQUAD_FMT "/%u", NIPQUAD(mr->min_addr.ip),
   33 - ffs(~(ip_min ^ ip_max)));

xt_LOGMARK: resolve new gcc7 warnings

xt_LOGMARK.c:56:32: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""SEEN_REPLY", prev++ ? "," : "");
xt_LOGMARK.c:58:29: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""ASSURED", prev++ ? "," : "");
xt_LOGMARK.c:60:31: warning: increment of a boolean expression [-Wbool-operation]
   printk("%s""CONFIRMED", prev++ ? "," : "");

build: support for Linux 4.12

As a result of commit cc41c84b7e7f ("netfilter: kill the fake untracked
conntrack objects") the helper nf_ct_is_untracked always returns false
and commit ab8bc7ed864b ("netfilter: remove nf_ct_is_untracked") removes
it all together.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

xt_condition: add support for namespaces

xt_psd: resolve compiler warning

xt_psd.c:53:0: warning: "HASH_SIZE" redefined
 #define HASH_SIZE   (1 << HASH_LOG)
linux-4.10.10/include/linux/hashtable.h:26:0:
note: this is the location of the previous definition
 #define HASH_SIZE(name) (ARRAY_SIZE(name))

Xtables-addons 2.12

build: mark Linux 4.10 as supported

build: support for Linux 4.10

Commit 613dbd95723aee7abd16860745691b6c7bda20dc (netfilter:
x_tables: move hook state into xt_action_param structure) changes the
struct xt_action_param, accommodate for it.

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

build: support for Linux 4.9

Commit f330a7fdbe1611104622faff7e614a246a7d20f0 (netfilter: conntrack:
get rid of conntrack timer) replaces timer_list with an u32, use helper
from commit c8607e020014cf11a61601a0005270bad81cabdf (netfilter: nft_ct:
fix expiration getter).

Signed-off-by: Ralph Sennhauser <ralph.sennhauser@gmail.com>

Xtables-addons 2.11

xt_ECHO: ensure IP header length is set

xt_ECHO: handle fragments

Since everything is just echoed back verbatim without modification,
supporting fragments seems easy.

xt_pknock: use shash crypto API

The old hash API is dropped as of Linux 4.6.
Only build tested.

xt_pknock: replace nemesis by socat

Use a utility much more widely available.

xt_pknock: import digest generation utility

xt_pknock: remove reference to non-existing documentation

Even in the old pknock-0.5.tar.gz tarball, there is no doc/pknock/
directory.

xt_SYSRQ: use new shash crypto API

The "shash" API is not exactly new (Linux 2.6.27), but the "hash" API
was finally thrown out for Linux 4.6.

xt_ACCOUNT: make it namespace aware

xt_ACCOUNTing objects create in one network namespace could be
read from all namespaces. Also object with the same name in
different namespaces would collide.

Signed-off-by: Andreas Schultz <aschultz@tpip.net>

build: fix configure compatiblity with POSIX shells

The kernel version detection code uses some bashisms, which makes the
build fail on Debian systems where /bin/sh links to dash. Replace with
POSIX-conforming commands at the cost of requiring awk.

Xtables-addons 2.10

build: silence compiler warning in xt_quota2

xt_quota2.c:67:6: warning: unused variable "ret" [-Wunused-variable]

build: support for Linux 4.4

xt_ACCOUNT: remove redundant braces

For single-line statements, the {} are not strictly needed.

xt_ACCOUNT: indent reduction

Invert early terminating conditions so the rest of the block can be
de-indented.